Компания RiskIQ, cпециализирующаяся на разработке связанных с обеспечением безопасности программных продуктов, выявила (http://www.riskiq.com/resources/blog/jquerycom-malware-attac...) активность по распространению вредоносного ПО на страницах jquery.com, через подстановки JavaScript-вставки c организацией перенаправления обращений на подконтрольный атакующим домен jquery-cdn.com, зарегистрированный несколько дней назад.
С учётом того, что JQuery используемой на более чем половине из 10 тысяч наиболее посещаемых сайтов в сети, поддержание безопасности серверной инфраструктуры проекта является критически важной задачей. Разработчики провели (http://blog.jquery.com/2014/09/23/was-jquery-com-compromised/) начальный аудит безопасности серверов и анализ логов и не нашли каких-либо следов деятельности злоумышленников.
Судя по всему атака атака носила единичный характер, так как в случае массовой атаки следовало ждать потока жалоб от пользователей, которые начинают поступать спустя считанные минуты после возникновения каких-либо проблем. Кроме RiskIQ никто не смог подтвердить наличие атаки, но авторитет RiskIQ также не даёт усомниться в реальности атаки. В настоящее время совместно с RiskIQ проводится боле детальное сопоставление логов.
Утверждается, что атака не затронула работу сервиса по загрузке на сайты JavaScript-библиотеки jQuery. Наиболее вероятным является компрометация сервера, обслуживающего сайт jquery.com. Пользователям, посещавшим сайт jquery.com 18 сентября, рекомендовано сменить пароль, проверить целостность своих систем и обратить особое внимание на любую подозрительную активность. Распространяемый в рамках атаки набор эксплоитов RIG направлен на поражение необновлённых Windows-систем и содержит код для эксплуатации уязвимостей в Java, Adobe Flash, Internet Explorer и Silverlight.
<center><a href="https://lh5.googleusercontent.com/5yzWusdBVClvzZVP239IHnVvaW... src="http://www.opennet.me/opennews/pics_base/0_1411541821.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center><center><a href="https://lh3.googleusercontent.com/QVhTrLz4BjlonlmeyTs8rqMqvD... src="http://www.opennet.me/opennews/pics_base/0_1411539490.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
URL: http://threatpost.com/jquery-website-redirecting-to-rig-expl...
Новость: http://www.opennet.me/opennews/art.shtml?num=40662
может это была эксклюзивная MITM специально для RiskIQ? :)
Тогда можно было ждать эксклюзивного набора эксплоитов, а не применение типового RIG для протухших уязвимостей.
> Тогда можно было ждать эксклюзивного набора эксплоитов, а не применение типового RIG
> для протухших уязвимостей.да это была просто слишком смешная шутка про http на скриншотах
> через инфраструктуру jQueryА вы больше включайте в свои сайты черти-что от кого попало с левых серверов.
Только VanilaJS, только хардкор? Не всегда оправдано. Использование cdn снимает нагрузку с серверов, ускоряет загрузку у пользователя, да и использование сторонних библиотек в разы облегчает и ускоряет разработку.
Сколько скрипт занимает? 50k-150к байт статики. Неужели такая неподъемная нагрузка, особенно если учесть что js/css прекрасно кешируется?
Ну вы подальше бложиков посмотрите, например если ежедневная посещаемость несколько миллионов.
> Ну вы подальше бложиков посмотрите, например если ежедневная посещаемость несколько миллионов.И что? Нжинкс влегкую отсервирует несколько миллионов копий jquery в день даже на двухбаксовой VDSке.
Канал нджинкс тоже под это дело расширит.
Кеширование как раз говорит в пользу cdn для jquery, так как пользователю достаточно посетить хоть один сайт с jquery той же версии.
50Kb * 1000 запросов в секунду означает 50Mb трафика в секунду или 4.3Tb в сутки. Как говорится, копейка рубль бережет.
Также играет роль не только объем, но и сам факт запроса, есть пределы на количество одновременных запросов в паре домен<->клиент как со стороны вебсервера, так и со стороны браузера. Не даром в серьезных сайтах контент грузится сразу с нескольких субдоменов.
> 4.3Tb в сутки. Как говорится, копейка рубль бережет.И много у вас сайтов с такой нагрузкой? И, главное, какой же там основной траффик? :)
Кроме того, CDN такой траффик тоже будут обслуживать не на халяву. Более того, они тоже ставят сервера и обслуживают народ. И имеют с этого некую маржу. Наличие маржи у CDNщиков как бы намекает что рубль сберег совсем не тот кто понтуется на форуме. Так, по логике вещей. Было бы это не выгодно - тогда для начала CDNы бы не существовали.
> Также играет роль не только объем, но и сам факт запроса
Если у вас реално тысячи запросов в секунду - у вас один фиг будет целая ферма бэков. Плюс-минус парочка фронтов/серверов статики на фоне этого капля в море, к тому же они будут ворочать и кучу всего еще. И почему-то википедики стесненные в средствах - не платят никаким CDNам, а вполне себе сервируют статику и кэшированный контент на всю планету.
Автор коммента имел в виду, что сумарное кол-во обращений с разных сайтов, у меня например один сайт генерирует около 1 тыс. обращений к jquery, думаю сайтов, которые генерируют больше 1 тысячи обращений в сутки очень много.
Инфраструктура гугла или любого другого поисковика стоит во много раз больше. Они это делают не на халяву! Они получают с этого маржу! Не сберегают вам рубль! Перестаньте пользоваться поисковиками. Кстати, opennet ведь тоже не на халяву, стоит денег, получает маржу и прочая! Срочно перестаньте им пользоваться.
Не понял логику в этих воплях. Похоже на проявление внезапного батхерта, или типа того.
Ну так прочитайте пост, на который был ответ. Кому-то мерещится, что на нем наживаются. Я использовал его же рассуждения для других объектов, чтобы показать их глупость.
> Использование cdn снимает нагрузку с серверов, ускоряет загрузку у пользователя,...или вылет плашки роскомсовкома "извините, ресурс заблокирован". Потому что CDN на одном серваке хостит двух миллионов кастомеров. Так что если какой-то порномагнат или наркоторговец случайно там оказался - ну и вы заодно под раздачу попадете. Бан то по IP вкатают. Да и если ваш сервер напрягается отдать сотню кило статики - как он все остальное то тогда хостит?
> да и использование сторонних библиотек
> в разы облегчает и ускоряет разработку.А с этим никто и не спорит. Просто нефиг на какие-то левые сервера, неподконтрольные вам ссылаться. Тогда и неожиданных факапов у вас не будет. А так вот как видите ВАШ сервер начинает вываливать ЧУЖОЕ гумнецо ВАШИМ пользователям. При этом вы тоже соучастник всего этого и виноваты как минимум в ж@порукости.
Ты бы хоть почитал, что такое CDN, прежде чем так жестоко пороть чушь.
КонтентДеливериЛокалхост
При желании можно сделать и так. Ставишь на локалхост вебсервер, скидываешь ему все версии jquery с http://code.jquery.com/jquery/. Прописываешь соответствие в /etc/hosts
127.0.0.1 code.jquery.com
Вуаля, у тебя для всех правильных сайтов jquery будет отгружаться с локалхоста.
Ну а с добавлением небольшой магии, зависящей от вебсервера, можно обойтись всего двумя версиями jquery.
> Ты бы хоть почитал, что такое CDN, прежде чем так жестоко пороть чушь.Я в курсе что такое CDN. Что еще забавнее, у утырков из роскомсовкома хватило ума заблокировать половину IP обслуживающих Россию с аргументом что сервак отдавал сайт с неправильным контентом. Вот такая вот суровая реальность нынче.
>> Ты бы хоть почитал, что такое CDN, прежде чем так жестоко пороть чушь.
> Я в курсе что такое CDN. Что еще забавнее, у утырков из
> роскомсовкома хватило ума заблокировать половину IP обслуживающих Россию с аргументом
> что сервак отдавал сайт с неправильным контентом. Вот такая вот суровая
> реальность нынче.Чем вам так роскомнадзор так насолил?)
> Чем вам так роскомнадзор так насолил?)Тем что некомпетентные кpeтины, не понимающие как работает интернет и блокирующие в результате сервера CDN целиком по айпишникам. Со всеми вытекающими. Типа рандомного вылетания характерных плашек в самых разных местах. В следующий раз эти правоохранители наверное устроят ковровые ядерные бомбардировки, если кто-то перебежит дорогу на красный свет, да?
> блокирующие в результате сервера CDN целиком по айпишникамВообще-то, в базе роскомнадзора есть конкретные URL конкретных ресурсов/страниц. А целиком блокируют по IP ленивые провайдеры.
>> блокирующие в результате сервера CDN целиком по айпишникам
> Вообще-то, в базе роскомнадзора есть конкретные URL конкретных ресурсов/страниц. А целиком
> блокируют по IP ленивые провайдеры.Росглавжандарм - не нужен. Вообще. Держиморда вертится в гробу, радостно подхихикивая. В паре с Салтыковым-Щедриным.
> есть конкретные URLДа вообще-то и айпишники бывают. Головотяпы - они такие.
> блокируют по IP ленивые провайдеры.
Не только. Хотя я могу понять нежелание провайдеров раскошеливаться на DPI. По-моему, те кто принимает такие законы - хуже террористов и педофилов вместе взятых.
В том то и дело, что только разработку. Бац-бац и в продакшен.
А что будет с вашим сайтом, когда роскомнадзор заблокирует сервер с этим кодом.
Или сам сайт закроется. Или начнет распространять троянов, как могло быть в данном случае.
Или Гбисты обрежут провода за границу?
RequestPolicy+noscript и нет проблем
не всегджа. Некоторые сайты так обмазаны js, что ими нельзя пользоваться
Зато с левых доменв тебе точно ничего не подгрузят.
дополню, на гитхабе видел скрипт, который делает локальное хранилище apis.google.com. Надо бы запилить скрипт для дублирования всех этих cdn
В большинстве случаев вебмастер индус или заказчик чудак. Я видел только 2 типа нужных js:1. картография
2. на яндекс-маркете показывают доступные варианты с учётом уже выбраных параметров
Зачем же эти полумеры, лучше вообще не запускать браузер. А то были в истории случаи уязвимости IE через картинки. Так что серфинг исключительно через wget/curl/netcat.
Да, хороший аддон, но нет такого под хром. :(
Вообще, было бы неплохо сделать какой-нибудь /policy.txt, который владелец сайта заливает туда и подписывает у каких-нибудь гуглов и прочих верисайнов.
Посетитель скачивает этот файл и по нему судит о том, какие скрипты не были рекомендованы к загрузке владельцем сайта.
Например, владелец подписался на баннерную кампанию от конторы А. Те дают ему 99$ за 100500 показов, а потом кто-то портит контент в баннере и посетитель грузит эксплойты с левых ресурсов.Наличие общего промышленного стандарта на политику загрузки ресурсов, позволило бы улучшить общую безопасность интернета для хомячков.
>а потом кто-то портит контент в баннере и посетитель грузит эксплойты с левых ресурсов.Это как?
Если кто-то имеет возможность взломать банерную сеть, то он может отгрузить любой контент и твой policy.txt ничем не поможет, ведь в нем прописано доверие к сети
Если кто-то имеет возможность изменить содержимое странички на твоем сайте, то он может поменять и policy.txtПопробуй придумать что-то более умное.
Имеется в виду, что баннерная сеть по партнерской программе отгружает ссылки на чужой графический контент.
Таких безобразий - пол-интернета.А в policy.txt будут прописаны права лишь на утвержденные серверы.
А ещё лучше -- чтобы этого JS не было и в помине.
Рад, что начались такие проблемы у ленивых веб-мастеров.
Ненавижу jQ и ей подобные библиотеки. В постоянно меняющихся условиях меняющуюся чёрти-чью библиотеку привязывают чёрти к чему в чёрти сколько мест. Невозможно по сайтам ходить - грузятся как чёрти что чёрти сколько времени. Хватит писать сайты **пой! JS, CSS, DOM - не так сложны, чтобы научиться и писать сайты красиво и тонко. Страница должна за раз брать с сервера не больше 70 Кб и подгружать не больше 20 Кб за раз при каком-либо событии, вызванном пользователем. (с редкими исключениями по специфике) Не можешь так написать? Меняй профессию.
Дурачок, ты бы хоть прочитал, что такое jquery. Если вдруг ты работаешь или планируешь работать в сфере веб, то как раз тебе настойчиво рекомендую сменить или выбрать другую профессию, дабы не плодил говносайтов, работающих только в твоем любимом браузере.
От дурачка слышу. Браузеры меняются со временем тоже. Нужно уметь писать на тех моментах, которые не меняются, либо меняются крайне редко.
Остальное - под эксперименты - пока браузеры соизволят синхронизироваться в поддержке той или иной феньки.
Мои сайты открываются на любых браузерах, актуальных (релизнутых) от сегодня и года на три назад. Даже такие уродцы, как мобильные "браузеры" их открывают уверенно.
Между "открываются" и "одинаково работают" большая разница, не говоря уже о богатсве функционала, а то "hello world" тоже везде открывается. Ну и совместимость на жалкие три года это просто смешно на фоне 13 лет от jquery.
Просто вы не создавали веб-приложений, в которых jQuery занимает 1-2% от всего другого кода. И да, эксперименты, это то, за что многие люди ценят сайты.
Это примерно как сравнить обычную выбиралку файла (input type=file) и drag&drop документа в окошко браузера с его превьюшкой и индикатором загрузки.
> Просто вы не создавали веб-приложений, в которых jQuery занимает 1-2% от всего
> другого кода.Это ж сколько у вас там кода? И вы уверены что браузер у юзера не заклинит, если ему вдуть 5 мегабайтов JS?
> в окошко браузера с его превьюшкой и индикатором загрузки.
А прикол в том что в HTTP штатно нет никаких нормальных методов узнать прогресс, даже поле размера контента - опционально, как минимум в ответе на get - точно. Поэтому одной jquery вы там уже не отделаетесь. Это или серверсайд скрипты должны сильно напрячься, или httpd должен подыграть.
> От дурачка слышу.Обмен экспертными мнениями у веб-разработчиков - это как-то так! :)
jquery достаточно компактная библиотека и уже перестала быть исключительно средством обеспечения кроссбраузерности. 70 кб один раз взять с сервера и положить в кэш - не такая большая нагрузка на браузер пользователя.Если писать на чистом жс, кода будет в разы больше и он будет хуже.
Реализовать работу с ДОМ или аякс правильно, ничего не упустив, трудно даже для опытного программиста. Всегда можно что-то упустить. Фреймворк позволяет избежать таких проблем.
>Если писать на чистом жс, кода будет в разы больше и он будет хуже.У индусов
>>Если писать на чистом жс, кода будет в разы больше и он будет хуже.
> У индусовА их треть населения планеты.
Их ~1,2 миллиарда. Если ты даже считать не умеешь, что делаешь тут?
JS вообще редко нужен - большинство сайтов прекрасно жили (и проживут) без индусячих высеров на таймбомбовом JS.
Заходишь на сайт, разрешаешь временно в noscript домен этот сайта, а все равно бОльшая часть контента не пашеткомментариев нет, менюшки не работают, все правильно делают
Я зашел на оффсайт jquery решил посмотреть исходный код не заражено ли там ничего, и просто офигел, гляньте внизу надпись...
Посылаю лучи поноса, все админам использующим JS напрямую с других сайтов!
> Посылаю лучи пoноса, все админам использующим JS напрямую с других сайтов!Искренне надеюсь что твои лучи пoнoca не хуже мегаваттного лазера.
Как админы относятся к разработке сайтов? Тебе опять много домашки позадавали?
> Как админы относятся к разработке сайтов?Они долго и мучительно переделывают, чтобы он все-таки работал стабильно.
Не уродуйте сайты жабоскриптным г-ном - не будет проблем.
